Várias falhas de segurança foram divulgadas no software de monitoramento de rede Nagios XI, que podem resultar em escalonamento de privilégios e divulgação de informações.
As quatro vulnerabilidades de segurança, rastreadas de
CVE-2023-40931
a
CVE-2023-40934
, impactam as versões 5.11.1 e inferiores do Nagios XI.
Após a divulgação responsável em 4 de agosto de 2023, elas foram corrigidas em 11 de setembro de 2023, com o lançamento da versão 5.11.2.
"Três dessas vulnerabilidades (
CVE-2023-40931
,
CVE-2023-40933
e
CVE-2023-40934
) permitem que usuários, com vários níveis de privilégios, acessem campos de banco de dados via Injeções SQL", disse a pesquisadora da Outpost24, Astrid Tedenbrant.
"Os dados obtidos dessas vulnerabilidades podem ser usados para escalar ainda mais os privilégios no produto e obter dados sensíveis do usuário, como hashes de senha e tokens de API."
CVE-2023-40932
, por outro lado, refere-se a um defeito de script entre sites (XSS) no componente Custom Logo que pode ser usado para ler dados sensíveis, incluindo senhas em texto simples da página de login.
A lista de falhas é descrita abaixo -
CVE-2023-40931
- Injeção SQL no ponto de reconhecimento de Banner
CVE-2023-40932
- Script entre sites no componente Logo Personalizado
CVE-2023-40933
- Injeção SQL nas Configurações de Banner de Anúncio
CVE-2023-40934
- Injeção SQL na Escalação de Host/Serviço no Gerente de Configuração Central (CCM)
A exploração bem-sucedida das três vulnerabilidades de injeção SQL poderia permitir a um atacante autenticado a executar comandos SQL arbitrários, enquanto o bug XSS poderia ser explorado para injetar JavaScript arbitrário e ler e modificar dados da página.
Esta não é a primeira vez que problemas de segurança são descobertos no Nagios XI.
Em 2021, a Skylight Cyber e a Claroty descobriram até duas dúzias de falhas que poderiam ser abusadas para sequestrar a infraestrutura e realizar execução remota de código.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...